Im letzten Jahr habe ich mein Netzwerk u.a. durch einen Proxmox Server erweitert, mit dem auch verschiedenen Dienste auch über das Internet zur Verfügung stehen (sollen). Da wurde es Zeit auch etwas mehr für die Sicherheit zu tun.
Einleitung
Ich habe ja wie schon beschrieben einen Asrock Deskmini H470 mit Proxmox zu einem Server umgewandelt, auf dem u.a. meine Nextcloud läuft. Proxmox verfügt über eine eigene Firewal, mit sich Zugriffe auf die Maschine bzw. auf den VM oder LXC beschränken läßt. Hier kann man z.B. für einen LXC regeln, daß Zugriffe per HTTP(S) nur aus dem lokalen Netz kommen dürfen. Gleiches gilt für z.B. SSH Zugriffe.
Trotzdem überlegt man natürlich weiter, wenn es um die Absicherung des eigenen Netzwerkes geht. Hier geht es dann um solche Dinge wie verschieden Bereiche also z.B. LAN vom WLAN zu trennen oder aber die Server/Dienste, die man im Internet anbiete ebenfalls in einem gesonderten und getrennten Netz konfiguriert sind.
Und da kam eben die Idee auf mit OPNSense eine Firewall einzurichten.
Die Hardware
Mittlerweile gibt es von verschiedenen Hersteller solcher Micro PC, der bekannstete dürfte wohl Protectli sein. Protectli ist aber recht teuer, aber es gibt ja bei Amazon eine große Auswahl an solche Firewall PC. Allen gemeinsam ist, daß sie meistens mit den sparsamen Pentium CPU ausgestattet sind. Darüber hinaus verfpügen fast alle über 4 oder mehr Netzwerkports, die in letzter Zeit soagr für 2.5 GBit Netzwerke ausgelegt sind.
Die von mir gewählte Version verfügt über 6×2.5 GB Netzwerkanschlüsse und wird lüfterlos mit einem Intel N5105 betrieben. Ein solches Gerät ohne RAM oder SSD liegt um 250,– €, wenn man mit 4 Netzwerkanschlüssen hinkommt, sind es unter 200,– €.
Bestückt werden kann der Mini PC mit 2 Riegeln DDR4 Ram und swohl einer NVMe oder einer SATA-SSD.
Anforderungen und Betrieb
OPNSense ist was den Betrieb angeht recht genügsam. OPNSense gibt hier für eine ausreichende Hardware 4GB RAM und 40GB SSD an. Wenn man hier also auf 8 GB geht und den Mini PC mit einer 256 GB SSD ausrüstet, sollte man auf der sicheren Seite sein.
Ich habe meine Firewall allerdings mit 32 GB RAM und einer 500GB ausgestattet. Und ich habe mich entschieden, die Firewall mit Proxmox zu virtualisieren, dann kann ich das Gerät durchaus für weitere Dienste und Anwendungen benutze.
Die Hardware ist übrigens recht sparsam, selbst 4 angeschlossenen Geräten liegt der Durchschnittsverbrauch bei ca. 10W, so daß sich der KingNoVY PC durchaus für den Dauereinsatz als Router und Firewall eignet.
Exposed Host
Es gibt zwar einige Hinweise im Netz, wie man eine Fritzbox sozusagen nur als Modem betreiben kann, allerdings sind bei mir 2 Versuche gescheitert. Außerdem hätte ich dann Probleme mit WLAN und vor allem der Telefonie bekommen.
Ich habe deshalb meine FritzBox für WLAN und VoIP so gelassen und die OPNSense Firewall logisch dahinter gesetzt. Dazu war es lediglich erforderlich, in der Fritzbox die Firewall als Exposed Host zu definieren. Damit wird jeglicher Verkehr aus dem Internet an die Fritzbox geleitet. Das hat mir die Gelegenheit gegeben, die OPNSense in Ruhe zu konfigurieren.
Wie es damit weitergeht, dass berichte ich im 2. Teil.